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* 1. Verfahren zum Personalisieren von Chipkarten bei dem der Name des 



Teilnehmers und ein zugehoriger individueller Schlussel in die 
Chipkarte abgespeichert werden und der Name des Teilnehmers in ein 
Register abgelegt wird, 
**dadurch gekennzeichnet , dass in einem 

gesicherten Bereich die Chipkarte (+*2**) statt mit dem 

Namen des Teilnehmers (A) mit einer Pseudo- Indentitat {X) 
vorpersonalisiert wird und diese Pseudo- Indentitat (X) in dem 
Register (**3**) abgelegt wird und dass erst nach Verlassen der 
Chipkarte (*+2**) des gesicherten Bereichs {*+!**) in einer 
Kartenausgabestelle zur Selbstpersonalisierung die Pseudo-Identitat 
(X) mit dem Namen des Teilnehmers (A) uberschrieben wird und dass 
dieser Name uber eine gesicherte Kommunikationsverbindung zum 
gesicherten Bereich der Pseudo-Identitat im Register 

(**3**) fest zugeordnet wird. 
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Claim: 

* 1. Verfahren zum Personalisieren von Chipkarten ( 
**2**), bei dem ein 

Teilnehmername (A) und ein individueller Schlussel (K) in die 
Chipkarten {++2**) abgespeichert werden und der Teilnehmername in 
einem gesicherten Bereich {^^i**) in einem Register (**3**) 
abgelegt und die Chipkarten danach ausgeliefert werden, **dadurch 
gekennzeichnet , 

* - dass im gesicherten Bereich ( 
**1**) anstelle des Teilnehmernamens 

(A) ein Pseudoname (X) in die Chipkarte eingetragen wird, 

* - dass in einer Kartenausgabestelle ( 
**5**) vor der Kartenausgabe 

der Pseudoname (X) in der Chipkarte (**2**) mit dem 
Teilnehmernamen (A) uberschrieben wird, 

* - dass uber eine gegen Abhoren und Verandern von zu ubertragenden 

Daten gesicherte Kommunikationsverbindung ( 
**6**) zwischen der 

Kartenausgabestelle (+*5**) und dem gesicherten Bereich {*+i++) 
der Pseudoname (X) und der Teilnehmername (A) verschlusselt zum 
gesicherten Bereich (**i**) ubertragen werden, 

* - dass in einem Register ( 
**3*-*} des gesicherten Bereiches (**l**) 

der Teilnehmername (A) zum Pseudonamen (X) zugeordnet gespeichert 
wird, und 

* - dass nach einer Ruckmeldung vom gesicherten Bereich ( 
**1**) zur 

Kartenausgabestelle (**5**) dort die Ausgabe der personalisierten 
Chipkarte (**2**) erfolgt . 



(jD buimdesrepublik ® Offenlegungsschrift 

DEUTSCHLAND ^Qg 3927270 Al 



Int. CI. 5: 

G 07 C 9/00 




DEUTSCHES 
PATENTAMT 



Aktenzeichen: 
^ Anmeldetag: 
@ Offeniegungstag: 



P 39 27 270.2 
18. 8.89 
28. 2.91 



CM 
€M 

a> 

CO 
UJ 

Q 



(Ti) Anmelder: @ Erfinder: 

Deutsche Bundespost, vertreten durch den Wotfenstetter, Klaus-Dteter, Dipl. -Math.. 6146 

Prasidenten des Fernmeldetechnischen Alsbach, DE; Kowalski, Bernd, Dipl.-lng., 5900 

Zentralamtes, 6100 Darmstadt, DE Siegen, DE 



Prufungsantrag gem. 5 44 PatG ist gestellt 

@ Verfahren zum Personalisieren von Chipkarten 



Bisher wurden Chipkarten nur innerhalb eines gesicherten 
Bereichs zentral personalisiert. Die durch den Versand der 
Karten aufkommenden Wartezeiten fur die Kunden sotlen 
durch die Erfindung vermieden warden. 
Gemaft der Erfindung werden die Chipkarten (2) in dem ge- 
sicherten Bereich (1) mit erner Pseudoidentitat (x) vorperso- 
nalisiert und nach Bedarf erst in den Kartenausgabestellen 
mit dem Namen des Teitnehmers (A) versehen (endpersona- 
lisiert). Die Endpersonalisierung wird von einer berechtigten 
Person durchgefuhrt und die Oaten dem gesicherten Bereich 
uber eine gesicherte Kommunikationsverbindung mitgeteilt. 
Oiese Personalisierungsprozedur ist bei alien Chipkarten- 
anwendungsbereichen verwendbar. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren zum Personali- 
sieren von Chipkarten. 

Es isi aus der Zeitschrift Telecom report 12 (1989). 5 
Heft 1 -2. S. 56 bis 58 bereits ein Stand der Technik 
bekannt» gemaB dem die Personalisierung von Chipkar- 
ten zeniral in einer gesicherten Umgebung erfolgt. Bei 
diesem Vorgang werden bereits die endgiiliigen Perso- 
nalisierungsdaten in den Chip der Karte eingeschrieben. 10 

Die Freigabe der Chipkarte erfolgt spater durch Ein- 
gabe der persdnlichen Identifikationsnummer (PIN) 
durch den Benutzer. 

Nachteilig bei diesem Stand der Technik ist» daB be- 
reits beim zentralen Personalisieren die vollstandigen 15 
Daten des spateren Benutzers vorliegen mussen. 

Aufgabe der Erfindung ist es, den Personalisierungs- 
vorgang dezentral durchfiihren zu konnen ohne eine 
Verringerung des hohen Sicherheitsstandards in Kauf 
nehmen zu mussen. 20 

Diese Aufgabe wird durch den kennzeichnenden Teil 
des Hauptanspruches gelost. 

Vorteilhafte Ausgestaltungen der Erfindung sind in 
den Unteranspruchen nSher aufgefuhrt. 

Ein Vorieil der Erfindung besteht darin, daB nach dem 25 
erfindungsgemafien Verfahren vorpersonalisierte Chip- 
karten bei Antragstellung eines zukiinftigen Benutzers 
diese Karien dezentral in einer ungeschutzten Umge- 
bung selbstpersonalisiert uhd sofort an diesen Benutzer 
ausgegeben werden konnen und somit gegeniiber dem 30 
Verfahren gemafi dem Stand der Technik unumgangli- 
che Wartezeiten entfallen. 

Nebenbei kann vorteilhaft eine bereits vorhandene 
Infrastruktur, wie z. B. Bankfilialen, Postamier usw. bei 
der Abwicklung des Verfahrens gemaB der Erfindung 35 
voll einbezogen werden. 

Weiterhin ist von Vorteil, daB bei dem endgultigen 
Personalisierungsvorgang keine geheimen Daten die 
Chipkarte verlassen, genausowenig geheime oder sensi- 
ble Daten in die Karte geschrieben werden. 40 

Beispieie der Erfindung werden anhand der Zeich- 
nung naher erlautert. 

Es zeigt die Fig. 1 den Stand der Technik der Perso- 
nalisierung, die Fig. 2 das Grundprinzip der Vorperso- 
nalisierung, die Fig. 3 die Vorpersonalisierung mit ei- 45 
nem zusatzlichen symmetrischen Transportschlussel 
und die Fig. 4 die endgultige Personalisierung (Selbst- 
personalisierung) einer Chipkarte. 

Wie Fig. 1 zeigt, werden nach der individuellen Er- 
zeugung eines symmetrischen Schliisseis K und nach 50 
dem Eingang der Identitatsdaten eines am Chipkarten- 
verfahren zukiinftig teilnehmenden Kunden dessen indi- 
vidueller Schlussel K und der Name der Teiinehmer 
(Kunden) A in eine freie Chipkarte 2 beim Personalisie- 
rungsvorgang eingeschrieben. Gleichzeitig wird in ei- 55 
nem Register 3 der Name des Teilnehmers A als Zu- 
gangsberechtigung abgelegt. 

Diese Vorgange finden zentral in einem gesicherten 
Bereich 1 statt. Erst nach der vollstandigen und endgul- 
tigen Personalisierung kann die Chipkarte 2 diesen gesi- eo 
cherten Bereich 1 verlassen und der Versand der Kane 
an den Teiinehmer erfolgen. 

Von diesem Stand der Technik unterscheidet sich das 
erfindungsgemaBe, in Fig. 2 prinzipiell gezeigte Verfah- 
ren der Vorpersonalisierung dadurch. daB die Identitats- 65 
daten des zukiinftigen Teilnehmers noch nichl bekannt 
sind und stattdessen eine Pseudo-Identiiat X erzeugt 
wird. die mit dem zugehorigen Schlussel K in die Chip- 



karte 2 eingeschrieben wird. Diese Pseudo-Ideniitat X 
wird in einem Register 3 abgelegt. Nach dieser Vorper- 
sonalisierung kann die Chipkarte 2 den gesicherten Be- 
reich 1 verlassen und in Bankfilialen oder Postamter 
bevorratet werden. 

Beantragt ein zukiinfiiger Teiinehmer eine Chipkarte, 
so wird in der Filiale oder dem Amt als Selbsipersonali- 
sierer die Pseudo-Identitat X mit dem Namen des Teil- 
nehmers A iiberschrieben und dieser Teilnehmername 
iiber eine gesicherte Kommunikationsverbindung zum 
gesicherten Bereich 1 in dem Register 3 der Pseudo- 
identitat X eindeutig zugeordnet. 

Die Fig. 3 zeigt den Vorgang der Vorpersonalisierung 
unter Verwendung eines zusatzlichen symmetrischen 
Transportschliissels t der mit dem individuellen (symme- 
trischen) Schlussel K und der Pseudo-identitat X inner- 
halb des gesicherten Bereichs 1 in die Chipkarte 2 einge- 
geben wird. 

Dieser Transportschlussel t wird fiir die gesicherte 
Kommunikation wahrend des Selbstpersonalisierungs- 
vorgangs zwischen der Kartenausgabestelle und dem 
gesicherten Bereich (in Fig. 2) benotigi. 

Die in Fig. 4 gezeigte Selbstpersonalisierung in der 
Kartenausgabestelle lauft in folgenden Schritten ab: 
Der Teiinehmer gibt seinen Namen A iiber ein Terminal 
5 ein. Eine berechtigte Person, wie z. B. ein Bankange- 
stellter oder ein Postbeamter als Personalisierer leitet 
den Selbstpersonalisierungsvorgang durch die Eingabe 
seiner eigenen Berechtigungskarte 4 ein. Diese Berech- 
tigungskarte 4 berechnet anschlieBend aus dem Namen 
des Teilnehmers A, der in der Berechtigungskarte 4 ab- 
gespeicherten Kennung pi und den ebenfalls abgespei- 
cherten .Namen Pi des Personaiisierers eine Berechti- 
gungskennung pi(A, Pi), die an die vorpersonalisierte 
Chipkarte 2 mit dem zusatzlich eingegebenen Namen 
des Personaiisierers Pi weitergeleitet wird. 

Innerhalb der Chipkarte 2 wird aus dem Namen des 
Personaiisierers Pi, dem Namen des Teilnehmers A, der 
Pseudo-Identitat X, der aktuellen Zeit h, und der Be- 
rechtigungskennung pi (A, Pi) mittels des Transport- 
schlussels t eine erste Datenfolge t(Pi. A, X, h, pi(A, Pi)) 
errechnet, die dem gesicherten Bereich 1 iibermiiielt 
wird. 

Im gesicherten Bereich 1 sind der Transportschlussel 
t, der Name der Personaiisierers Pi. die Kennung des 
Personaiisierers pi und die Pseudo-Identitat X der Chip- 
karte 2 bekannt. Somit kann aus dieser ersten Datenfol- 
ge der Name des Teilnehmers A und zusatzlich zum 
Vergleich mit den hier bekannten Daten der Name des 
Personaiisierers Pi und die Pseudo-Identitat X errech- 
net werden. Durch einen weiteren Rechenvorgang wird 
auch die Berechtigungskennung pi(A, Pi) neu erzeugt 
und iiberpriift. Sind die Prufungsergebnisse positiv, so 
wird mittels des Transportschlussels t aus der Berechti- 
gungskennung pi(A, Pi) und der Pseudo-Identitat X eine 
zweite Datenfolge t(pXA, Pi), X) erzeugt und als Bestati- 
gung dem Terminal 5 der Kanenausgabesielle und so- 
mit auch der don befindlichen Chipkarte 2 iibermiitelt. 

Gleichzeitig wird in dem Register der Name des Teil- 
nehmers A der Pseudo-Identitat X fest zugeordnet. 

Innerhalb der Chipkarte 2 wird abermals die Berech- 
tigungskennung pi(A, Pi) errechnet und mit der dort 
noch gespeicherien Kennung verglichen. Ist dieser Prii- 
fungsvorgang abgeschlossen, so tauscht die Chipkarte 
die Pseudo-Identitat X mit dem Namen des Teilnehmers 
A und loscht den Transporischliissel t und die Berechti- 
gungskennung pi(A, Pi). In der Chipkarte 2 sind also 
nach der erfolgten Selbstpersonalisierung nur noch der 
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Name des Teilnehmers A und der zugehorige individu- 
elle Schliissel K abgespeichert und die Karte kann dem 
Teilnehmer ausgehandigi werden. 

Vorzugsweise ist die Berechtigungskennung pi{A, Pi) 
eine Einwegfunktion, welche die geheime Kennung pi 5 
des Personalisierers beinhahet. Der Name des Persona- 
lisiers Pi kann auch als Codewort in der Berechtigungs- 
karte 4 abgespeichert und/oder in die Chipkarte einge- 
geben werden. 

Wird statt eines symmetrischen Chiffrierverfahrens 10 
mit einem individuellen Schliissel ein asymmetrisches 
Verfahren gewahlt. bei dem ein geheimer und ein of- 
fentlicher Schiussel als komplementares Paar verwen- 
det wird, so werden bereits bei der Vorpersonalisierung 
beide Schiussel in die Chipkarte abgespeichert und wah- 15 
rend oder nach der Selbstpersonalisierung nichl ge- 
loscht. Ansonsien unterscheidet sich diese Variante 
nicht von dem Verfahren mit einem symmetrischen 
Schiussel. 

20 

Patentanspruche 
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gungsfehler dient. 

5. Verfahren nach Anspruch 1. dadurch gekenn- 
zeichnet, daB der individuelle Schliissel (K) ein 
asymmetricher Schliissel, bestehend aus einem ge- 
heimen und einem offentlichen Schiussel isi. 



Hierzu 4 Seite(n) Zeichnungen 



1. Verfahren zum Personalisieren von Chipkarten 
bei dem der Name des Teilnehmers und ein zuge- 
horiger individueiler Schliissel in die Chipkarte ab- 25 
gespeichert werden und der Name des Teilnehmers 

in ein Register abgelegt wird, dadurch gekenn- 
zeichnet, daB in einem gesicherten Bereich (I) die 
Chipkarte (2) statt mit dem Namen des Teilneh- 
mers (A) mil einer Pseudo-Indentitat (X) vorperso- 30 
nalisiert wird und diese Pseudo-Indentitat (X) in 
dem Register (3) abgelegt wird und daB erst nach 
Verlassen der Chipkarte (2) des gesicherten Be- 
reichs (1) in einer Kartenausgabestelle zur Selbst- 
personalisierung die Pseudo-identilat (X) mit dem 35 
Namen des Teilnehmers (A) iiberschrieben wird 
und daB dieser Name iiber eine gesicherte Kommu- 
nikationsverbindung zum gesicherten Bereich (1) 
der Pseudo-ldentitat im Register (3) fest zugeord- 
net wird. 40 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB wahrend der Vorpersonalisierung zu- 
satztich ein Transportschlussel (t) fiir die Kommu- 
nikationsverbindung in die Chipkarte (2) eingege- 
ben wird und daB dieser Transportschlussel (t) nach 45 
der Selbstpersonalisierung geloscht wird. 

3. Verfahren nach Anspruch 2, dadurch gekenn- 
zeichnet, daB mittels einer Berechtigungskarte (4) 
eines zugelassenen Personalisierers in der Karten- 
ausgabestelle aus dem Transportschliissel (t), dem 50 
Namen des Personalisierers (Pi), dem Namen des 
Teilnehmers (A), der Pseudo-ldentitat (X). der ak- 
tuellen Zeit (h) und einer, aus einer geheimen Ken- 
nung des Personalisierers (pi), dem Namen des Teil- 
nehmers (A) und dem Namen des Personalisierers 55 
(Pi) errechneten Berechtigungskennung (p!(A, Pi)) 
eine erste Datenfolge als Kommunikationsverbin- 
dung errechnet wird, aus der im gesicherten Be- 
reich (1) der Name des Teilnehmers (A) riickge- 
rechnet wird. 60 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB aus dem Transportschlussel (t), der 
Berechtigungskennung (pi(Pi, A) und der Pseudo- 
ldentitat (X) innerhalb des gesicherten Bereichs (1) 
eine zweite Datenfolge errechnet wird und als Teil 65 
der Kommunikationsverbindung der Kartenausga- 
bestelle zugehi und dort der Oberpriifung der ge- 
samten Kommunikationsverbindung auf Obertra* 
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